En esta entrada os voy a hablar un poco a modo de resumen de lo que se conoce como Pentesting.
Seguro que para algunos es un concepto desconocido. Pero si digo Hacking, muchos sabéis a lo que me estoy refiriendo.
El pentesting difiere de lo que conocemos como hacking. El pentester es el usuario que realiza pruebas de seguridad en un sistema controlado y previamente acordado. El pentesting es la ciencia encargada de encontrar las debilidades del sistema informático. Mediante técnicas de penetración e intrusión que tratan de averiguar los fallos, bugs, exploits que puede tener el software o hardware de una empresa. El objeto, medir de forma controlada y acordada el impacto de un fallo, tanto funcional como económico. El hacking es similar pero sin consentimiento, no se sabe quién, ni donde se realiza el hacking.
El pentesting intenta similar el ataque de un hacker. Si el hacking busca realizar daño, con fines ilícitos, entonces hablamos de cracking. Aunque conviene recordar que el hacking con target sin consentimiento es también un delito.
Por lo tanto los Pentest o pruebas de intrusión se realizan con herramientas específicas donde se ha definido el objetivo y con dispositivos señalados para su análisis. Puede ser aplicado para realizar análisis forense.
Mediante la detección e identificación de los sistemas vulnerables.
Las pruebas pueden ser de 2 tipos.
De caja blanca y de caja negra.
Las pruebas de caja blanca, el cliente o empresa ofrecen toda la información necesaria para estudiar las posibles debilidades. No es necesario por tanto hacer un fingerprinting (procesos de recopilación de información para identificar el target, Sistema operativo, versiones, etc).
Por el contra, las pruebas de caja negra no ofrecen información alguna para saber a qué nos enfrentamos. Siendo más difícil de realizar para el pentester.
El organismo IACRB realiza pruebas para obtener el CPT o Certified Penetration Tester. Mediante una prueba examen tipo test y otra práctica el candidato es evaluado para la obtención del certificado. Estas pruebas se suelen realizar sobre máquinas virtuales.
De los defectos más temibles existentes son los conocidos como los Zero Day, aquellos en los no se ha difundido el fallo por desconocimiento del fabricante del producto, es decir, un agujero de seguridad sin cura alguna.
FASES
Las fases para realizar pentesting deben ser realizadas en orden correcto, debido a que podrían conllevar problemas en el entorno de producción. Todas ellas buscan preservar la seguridad del sistema
Se clasifican en seis.
Alcance
Son los límites de acción establecidos. Se deben acordar los objetivos a alcanzar con el cliente. Todo lo acordado entre el cliente y el pentester debe ser recogido en un documento firmado por ambas partes, para evitar problemas o reclamos.
En esta etapa, el cliente es consciente de los posibles problemas a los que se enfrenta, y la necesidad de realizar una auditoría de seguridad.
Recogida de información.
Si son pruebas de caja blanca, la cantidad de elementos a recolectar será bastante más sencillo. Al contrario será necesario realizar técnicas de Fingerprinting, Footprinting, hacking para lograr obtener información sobre la organización o sistemas target. Mediante las redes sociales, webs, blogs, software B2B, consultas DNS se localiza información adicional, análisis de puertos, servicios.
Análisis de las posibles vulnerabilidades.
Una vez recolectada la información, versiones, servicios, programas, etc, se intentan buscar diferentes vulnerabilidades para determinar el modo de ataque más eficaz. Se pueden emplear bases de datos de exploits, webs para sysadmins, fallos publicados, o incluso software de analítica de vulnerabilidades (realmente existen varios y muy buenos).
Explotación o prueba de los posibles fallos.
En esta fase los/el pentester/s pone a prueba los conceptos y posibles fallos (PoC). Es una fase larga y duradera, para intentar detectar los posibles exploits, vulnerabilidades. Puede que no se encuentren fallos en un sistema actualizado y seguro. No es nada fácil. Mediante exploits o códigos que demuestran el posible fallo, se puede comenzar las pruebas. Aunque existen muchas otras técnicas de explotación.
Postexplotación del sistema.
Una vez accedido al sistema a través del fallo, se intenta acceder a otros recursos para exponer el posible daño a otros sistemas. Mediante HOPS o saltos, podemos intentar alargar los tentáculos de la infiltración. Es realmente cuando uno se puede dar cuenta que un fallo normal puede provocar exposiciones exponenciales de información de la organización.
Informes y resultados.
Se debe recoger todas las pruebas realizadas, horas, software empleado, técnicas.
Debido a la complejidad se suelen dividir en informes técnicos y ejecutivos.
Los informes técnicos recogen toda la información con un gran nivel de detalle.
El informe ejecutivo informa de las posibles vulnerabilidades sin entrar mucho en detalle, al igual que el técnico, se muestra una lista de recomendaciones y acciones.
HERRAMIENTAS.
Para encontrar vulnerabilidades los penterster además de sus conocimientos técnicos y acciones de forma manual, se suelen apoyar también en herramientas para realizar un recorrido de los posibles fallos.
Entre ellas destacan:
Por otro lado, existen distros GNU/Linux entre ellas Kali Linux (que ha sido la sucesora de la conocida Backtrack), con un set de utilidades para detectar y realizar pentesting.
Otro tipo de software puede ser:
Destaco Metasploit, como herramienta para desarrollar y ejecutar exploits contra una maquina remota.
